Prompt injection в AI-скиллах: почему сторонний код может украсть ваши права
Многие разработчики и пользователи AI-агентов скачивают готовые скиллы (skills) из открытых репозиториев, не задумываясь о безопасности. Но проблема в том, что скилл — это не просто текстовый файл с инструкцией, а полноценный инструмент, который может содержать исполняемый код. И этот код запускается с теми же правами, что и ваше рабочее окружение.
Это открывает дверь для prompt injection: злоумышленник может встроить в скилл вредоносный промпт, который перехватит управление агентом, выполнит команды от вашего имени или украдет данные. Причём уязвимость касается как собственных скиллов, так и сторонних — ведь вы не всегда проверяете, что именно за код выполняется.
Вывод простой: перед использованием любого стороннего скилла нужно проверять его на наличие подозрительных конструкций, ограничивать права выполнения (например, через песочницу) и внимательно читать, что именно он делает. Иначе один неверный скилл может превратить вашего AI-помощника в троян.